网络安全等保测评高风险项判定手册(一票否决项)为简化用户单位对高风险判定指引的理解,明确一票否决项的判定准则,快速对标《T/ISEAA 001-2020》理清系统当前系统存在的差距,特制定本手册。 以下各条款内多个要点之间为“或”的关系,即各要点全都不符合才判为高风险(一票否决),各要点之间满足其一即可酌情降低风险。
一、物理和环境安全
1.机房出入口未配置电子门禁系统,或机房不受控。(二级及以上)
2.机房未设置防盗报警系统,或未设置专人值守的视频监控系统,或机房不受控。(三级)
3.机房未配备火灾自动消防系统或未配备灭火器。(二级及以上)
4.机房未配备短期应急供电设施,如UPS、柴油发电机、应急供电车等,或未采用多路供电。(二级及以上) 5.云计算基础设施及其配套的软件和数据未存放在中国境内,或数据违规出境。(二级及以上)
二、安全通信网络
1.网络设备的性能无法满足高峰期业务需求(一般为性能指标超过80%认为无法满足),或未采用多数据中心进行冗余。(三级) 2.未根据业务的重要性划分不同的网络区域。(二级及以上)
3.误将重要网络区域部署在边界上(无边界访问控制设备),且重要网络区域与其他网络区域之间未采取隔离措施。(二级及以上)
4.未对通信线路、关键网络设备和服务器等进行硬件冗余,或具备多数据中心的达到应用级灾备亦可。(三级)
5.云计算平台误承载高于平台等级的应用系统。(二级及以上)
6.未采用校验技术或密码技术保证网络(三级)(HTTPS或VPN等)、主机(三级)(HTTPS/SSH/VPN等)、应用(二级及以上)(HTTPS/VPN)等层面的传输完整性保护,或未对网络和系统环境进行管控,或未采用多种身份鉴别机制。
7.未采用密码技术保证通信过程中的数据保密性(重要数据明文传输),或未采用多种身份鉴别机制,或限定管理地址等手段。(三级)8.未采用密码技术保证重要数据存储的保密性。如未采取数据加密存储、未部署数据防泄漏设备、或未对数据进行访问控制的限制。
三、安全区域边界
1.未对无线网络的使用进行管控。(三级)
2.未在关键网络节点处检测、防止或限制外部攻击(二级及以上)和内部攻击(三级)。如未部署IPS、WAF、反垃圾邮件系统、态势感知、防DDOS系统、或主机入侵防护软件等,且相应的产品未及时更新策略库达半年及以上。
3.网络层面或主机层面未部署杀毒软件或白名单软件,且恶意代码库未及时更新达一个月以上。或物理隔离的系统未采用USB介质管控。(二级及以上)
4.网络安全审计缺失,如未部署日志审计类产品进行流量审计和事件审计等,未对应用系统进行操作记录。且未对审计记录进行保护和
备份,且审计记录不足6个月。(二级及以上)
四、安全计算环境
1.网络设备、安全设备、主机设备、应用系统、数据库、中间件等不得存在弱口令、空口令、默认口令、相同口令,且口令须定期更换。或未对相应设备的登录方式、物理访问控制、访问限制等进行管控。(二级及以上)
2.对设备和系统进行远程管理时未采用加密措施防窃听,如SSH、HTTPS、VPN等。或未采用多种身份鉴别机制,或未限定管理地址等。(二级及以上)
3.网络设备、安全设备、主机设备、应用系统未采用多种身份鉴别技术,且其中一种鉴别方式应使用密码技术。或采用登录地址限制或绑定管理终端来进行补足。(三级)
4. 网络设备、安全设备、主机设备等未关闭多余的系统服务、默认共享和高危端口。(二级及以上)
5. 网络设备、安全设备、主机设备等未进行终端接入管控或网络地址范围限制。(二级及以上)
6.网络设备、安全设备、主机设备、应用系统等存在高危漏洞未及时修补。或未通过地址限制、网络环境管控等措施限制设备的高危漏洞在互联网环境被利用。(二级及以上)
7.通过互联网访问的应用系统未采用登录失败处理、限制非法连接次数和连接超时退出等机制限制暴力破解。(二级及以上)
8.应用系统访问控制机制存在缺陷,如存在越权漏洞。或在可控的网
络环境中,未对用户行为进行监控。(二级及以上)
9.应用系统数据有效性检验功能缺失,可能存在SQL注入、跨站漏洞,上传漏洞等风险。(二级及以上)
10.未具备对重要数据进行备份和恢复的能力,或未进行多数据中心的冗余(二级及以上)。此外,三级系统未采用异地实时备份机制,(三级)
11.服务器和数据库等重要的数据处理系统冗余措施缺失,即未采用热冗余技术。(三级)
12.鉴别信息所在的存储空间被释放或重新分配前未得到完全的清除(二级及以上)。敏感数据所在的存储空间被释放或重新分配前未得到完全的清除(三级)。
13.超范围采集和存储个人信息,未禁止非授权访问个人信息的行为。(二级及以上)
五、安全管理中心
1.未对网络链路、网络设备、安全设备、服务器等设备的运行状况进行集中监控。(高可用的三级系统)
2.无法对网络中产生的各类安全事件进行识别、分析和报警。(三
级)
六、安全管理体系
1.未建立安全管理制度。(二级及以上)
2.未成立网络安全领导小组,且小组负责人未由单位主管领导担任或授权。(三级)
3.未定期组织安全意识教育和安全技能培训。(二级及以上)
4.管理制度中未明确对外部人员接入受控网络的接入申请和审批流程,且无法提供相关的审批记录。(二级及以上)
5.违规采购未获得国家相关部门认可的网络和安全设备。(三级)
6.未对系统的源代码进行代码审计,或开发单位未提供针对应用系统的第三方安全检测报告。(三级)
7.系统上线前未开展安全检测并形成安全检测报告,未对检测中发现的高风险问题进行修复。(三级)
8.运维工具使用前未进行有效性检测(如病毒和漏洞等),未对运维工具接入前进行严格的控制和审批,运维结束后未删除敏感数据。(三级)
9.未对外来终端和存储设备接入前进行恶意代码检查。(二级及以上)
10.管理制度中缺失对违规外联(违规上网或违反网络安全策略的行为)的相应制度文件,且无法通过技术手段进行管控。(三级)11. 管理制度中缺失变更管理制度且未提供变更环节的全流程记录。(二级及以上)
12.管理制度中缺少数据备份和恢复的制度,或未按照相关策略落实数据的备份和恢复措施。(二级及以上)
13.缺少应急预案,应急预案不完整,如缺少应急处理流程和恢复流程等,应急预案不具备操作性。(二级及以上)
14.未定期(至少每年一次)对应急预案进行演练且缺少应急演练的过程记录。(三级)
